Le partage de compte est la forme la plus tolérée d'abus en première partie sur les plateformes d'abonnement. La plupart des équipes produit et fraude savent que cela se produit. La plupart n'ont pas les preuves pour agir avec confiance à grande échelle. La détection n'est pas la partie difficile. Le comptage de sessions simultanées, les signaux de nombre d'appareils et les anomalies géographiques peuvent tous signaler des comptes qui sont probablement partagés. La partie difficile est la lacune entre signaler et agir : quelles preuves avez-vous que le signal est correct, comment appliquez-vous sans générer de faux positifs qui frustrent les utilisateurs légitimes, et que se passe-t-il lorsqu'un titulaire de compte conteste l'action d'application ?
Les limites de sessions simultanées adressent le cas le plus évident : deux connexions simultanées depuis des adresses IP différentes sur le même compte. Elles ne distinguent pas un seul utilisateur sur un ordinateur portable et un téléphone de deux personnes différentes partageant des identifiants. Elles ne vous disent pas quel appareil appartient au titulaire du compte et lequel appartient à l'utilisateur non autorisé. Elles ne produisent pas de preuves qui soutiennent une action d'application des conditions d'utilisation ou défendent une contestation de débit ultérieure si le titulaire du compte conteste la restriction.
Cet article explique ce que le comptage de sessions simultanées capture et où il cesse d'être suffisant, ce que le device fingerprinting ajoute au tableau, et comment les preuves de la couche navigateur transforment la détection du partage de compte d'un signal en un constat exploitable.
Ce qu'est réellement le partage de compte et ce qu'il n'est pas
Réponse rapide : Le partage de compte signifie un seul compte payant accessible par plusieurs personnes réelles qui n'ont pas payé pour un accès individuel. Il est distinct de l'utilisation multi-appareils par un seul utilisateur, qui est légitime, et du multi-comptage, où une personne contrôle plusieurs comptes. Le défi de détection est que les trois génèrent des signaux de session similaires. Distinguer le partage de compte de l'utilisation légitime multi-appareils nécessite des preuves au niveau de l'appareil, pas seulement des comptages de sessions.
Trois schémas génèrent des signaux qui se chevauchent au niveau de la session, et les confondre produit à la fois des faux positifs et des faux négatifs.
Le premier est l'utilisation multi-appareils par un seul utilisateur, qui est entièrement légitime. Un utilisateur qui travaille sur un ordinateur portable pendant la journée et lit sur son téléphone le soir génère des sessions simultanées ou quasi-simultanées depuis deux appareils différents et potentiellement deux adresses IP différentes. S'il voyage, ces sessions apparaissent depuis différentes villes. Ce schéma ressemble à un partage de compte sur tout signal qui repose purement sur la diversité IP ou la concurrence de sessions.
Le deuxième est le vrai partage de compte : deux ou plusieurs personnes réelles accédant au même compte sous des identifiants partagés. Le titulaire du compte partage son nom d'utilisateur et son mot de passe avec un membre de la famille, un collègue ou un ami. Chaque personne utilise son propre appareil, depuis son propre endroit, dans son propre navigateur. Les sessions sont vraiment distinctes au niveau de l'appareil et au niveau du réseau. Les appareils ont des empreintes différentes. Les sessions se produisent dans des contextes géographiques différents. Les schémas d'utilisation reflètent le comportement de deux personnes différentes, pas d'une personne sur deux appareils.
Le troisième est le vol d'identifiants : un attaquant qui a obtenu les identifiants du titulaire du compte et accède au compte simultanément ou alternativement. Les signaux au niveau de la session sont similaires au partage de compte, mais l'implication de risque est très différente : le vol d'identifiants est un vecteur de prise de contrôle de compte, pas une violation des conditions d'utilisation.
Les limites de sessions simultanées traitent les trois schémas de manière identique : elles se déclenchent lorsque le seuil est dépassé, quelle qu'en soit la raison. Une application basée uniquement sur les signaux de sessions simultanées produit des faux positifs contre les utilisateurs légitimes multi-appareils, ne distingue pas le partage de compte du vol d'identifiants, et ne fournit aucune preuve pour soutenir l'action d'application si le titulaire du compte la conteste.
Où la détection de sessions simultanées cesse d'être suffisante
Réponse rapide : Les limites de sessions fonctionnent contre le partage de compte qui est simultané, à grand volume et ne tente pas de rester dans la limite. Le partage d'identifiants moderne est rarement aussi simple. L'utilisation décalée du même compte ne déclenche jamais de limite de session simultanée. Le partage géographique entre membres du foyer ressemble identiquement à un accès distribué par un seul utilisateur. Toute application basée purement sur la concurrence génère trop de faux positifs pour être opérationnellement gérable à grande échelle.
Le mécanisme d'une limite de sessions simultanées est simple : si plus de N sessions sont actives sur le même compte en même temps, la session la plus ancienne est terminée ou une nouvelle connexion est bloquée. Cela fonctionne lorsque tous les utilisateurs du compte partagé sont actifs simultanément et qu'aucun effort n'est fait pour éviter la limite.
En pratique, le partage de compte est rarement aussi peu sophistiqué. Deux personnes partageant un abonnement utilisent souvent le service à des moments différents. Un foyer partage une plateforme SaaS entre deux membres de l'équipe qui travaillent à des heures différentes, ou un abonnement en streaming utilisé alternativement par différentes personnes dans différentes pièces. Les sessions sont séquentielles, pas simultanées. Aucune limite de session simultanée ne se déclenche jamais.
La distribution géographique crée un problème de faux positifs. Un seul utilisateur qui travaille depuis un bureau, utilise le même compte depuis chez lui le soir et voyage occasionnellement génère des sessions depuis plusieurs villes. Ce schéma déclenche des signaux d'anomalie géographique mais est entièrement légitime. Une action d'application basée sur les seuls signaux de diversité géographique affecterait une grande population d'utilisateurs authentiques dont la seule caractéristique distinctive est qu'ils utilisent leur compte à plus d'un endroit.
Le partage décalé dans le temps est particulièrement difficile pour tout mécanisme de détection qui repose sur le chevauchement de sessions. Si deux personnes partageant un compte ne se connectent jamais en même temps, il n'y a pas de session simultanée à détecter. La seule preuve que le compte est partagé est l'historique des empreintes d'appareils : deux profils d'appareils distincts apparaissant dans l'historique des sessions du compte, chacun montrant des schémas d'utilisation solo cohérents mais ne se chevauchant jamais.
Le risque de faux positifs est la barrière opérationnelle qui empêche la plupart des plateformes d'agir agressivement sur les signaux de partage de compte. Terminer une session ou restreindre un compte affecte de vrais clients. Chaque action d'application basée sur un faux positif génère des tickets d'assistance, des plaintes sur les réseaux sociaux et un risque de désabonnement potentiel. Sans preuve que le signal est correct, une application agressive n'est pas opérationnellement viable.
Ce qu'ajoute le device fingerprinting à la détection du partage de compte
Réponse rapide : Le device fingerprinting élargit le signal du comptage de sessions à l'identité de l'appareil. Un compte accédé par deux empreintes d'appareils distinctes qui ne correspondent pas au schéma multi-appareils d'un seul utilisateur, différentes classes de matériel, différentes configurations de navigateur, différents contextes géographiques qui ne correspondent pas à l'emplacement principal du titulaire du compte, est un signal de partage de compte beaucoup plus fort que les sessions simultanées seules. Le fingerprinting construit également un historique d'appareils pour chaque compte, rendant l'accès depuis un nouvel appareil dans un contexte inattendu détectable au fil du temps.
Une empreinte d'appareil capture les caractéristiques matérielles et logicielles du navigateur et de l'appareil dans une session : résolution d'écran, rendu GPU, ensemble de polices, comportement de rendu canvas, caractéristiques du contexte audio, configuration des plugins du navigateur et des dizaines d'autres attributs. Ces caractéristiques sont plus stables et plus distinctives qu'une adresse IP et plus informatives qu'un comptage de sessions.
Pour la détection du partage de compte, la sortie clé est un historique de profil d'appareil par compte : quelles configurations d'appareils distinctes ont accédé à ce compte, dans quels emplacements, à quels moments, et avec quels schémas d'utilisation. Un seul utilisateur avec un ordinateur portable et un téléphone a deux appareils, mais ces appareils ont tendance à être utilisés dans des contextes géographiques liés, le même réseau domestique, le même itinéraire de voyage, et les schémas d'utilisation sur les deux appareils reflètent le comportement d'une seule personne.
Deux personnes réelles partageant un compte produisent un historique d'appareils avec deux profils distincts qui ont des contextes géographiques indépendants, des timings d'utilisation indépendants et des schémas d'interaction indépendants. Le réseau domestique d'un utilisateur n'est pas le réseau domestique de l'autre. Les moments où chacun est actif ne sont pas corrélés comme ils le seraient pour une utilisation multi-appareils d'une seule personne. Le contenu ou les fonctionnalités accédés par chacun reflètent les préférences et les flux de travail de deux personnes différentes.
Cette distinction n'est pas visible dans les données de comptage de sessions. Elle est visible dans l'historique des empreintes d'appareils lorsque cet historique est maintenu et analysé sur une fenêtre temporelle suffisante. Un compte avec deux profils d'appareils distincts, chacun montrant une utilisation indépendante cohérente non corrélée, est un signal de partage de compte à beaucoup plus haute confiance que deux sessions simultanées.
Dans l'analyse des appareils au niveau des comptes de cside, le schéma qui distingue le plus fiablement l'accès multi-appareils par un seul utilisateur du partage d'identifiants authentiques est l'indépendance géographique des profils d'appareils au fil du temps. Les appareils d'un seul utilisateur ont tendance à partager le même réseau domestique, le même itinéraire de voyage, et un timing de session corrélé. Deux personnes partageant un compte génèrent des profils d'appareils avec des historiques de localisation vraiment indépendants et des périodes actives non chevauchantes qui deviennent clairement distinguables après une fenêtre d'observation de 14 jours.
L'utilisation d'anti-detect browsers est une contre-mesure que certains partageurs de comptes sophistiqués emploient pour éviter la détection des empreintes d'appareils : partager les identifiants avec des instructions pour utiliser un profil de navigateur spécifique ou un VPN. La surveillance de la couche navigateur de cside détecte l'anti-detect browser lui-même, qui est lui-même un signal anormal dans un contexte d'abonnement grand public. Un utilisateur exécutant un anti-detect browser pour accéder à une plateforme SaaS ou un abonnement média n'est pas un schéma d'utilisation normal.
En savoir plus sur le device fingerprinting de cside et l'analyse de session au niveau des comptes.
Ce que les preuves de la couche navigateur permettent pour l'application
Réponse rapide : La détection identifie les comptes probablement partagés. L'application nécessite des preuves pouvant justifier une action sur les conditions d'utilisation, résister à une contestation client et, le cas échéant, défendre contre une réclamation de contestation de débit déposée après l'application. Les preuves de la couche navigateur fournissent un enregistrement structuré des profils d'appareils qui ont accédé à un compte, leurs historiques de sessions et les signaux qui distinguent l'accès partagé de l'utilisation légitime multi-appareils.
La lacune entre détection et application est la plus grande barrière opérationnelle à laquelle la plupart des équipes font face sur le partage de compte. Signaler un compte comme probablement partagé est une opération à faible coût. Contacter le titulaire du compte, restreindre l'accès ou convertir le compte en plan multi-utilisateurs payant nécessite la confiance que le signal est correct. Agir sur un faux positif signifie prendre une action d'application contre un client payant qui n'a rien fait de mal.
Les preuves de la couche navigateur changent le calcul de confiance. Au lieu d'une règle qui s'est déclenchée sur la base d'un seuil de session simultanée ou d'un comptage de diversité géographique, l'équipe fraude ou produit dispose d'un enregistrement structuré : ce compte a été accédé par deux empreintes d'appareils distinctes au cours des 30 derniers jours, l'appareil A apparaît de manière cohérente depuis l'emplacement X avec des schémas d'utilisation cohérents avec le type d'utilisateur A, et l'appareil B apparaît de manière cohérente depuis l'emplacement Y avec des schémas d'utilisation cohérents avec le type d'utilisateur B, et les deux ne semblent jamais actifs dans des fenêtres qui se chevauchent. Cet enregistrement soutient une action d'application avec un degré de confiance qu'un comptage de sessions ne permet pas.
L'application graduée est l'approche opérationnellement recommandée lorsque la qualité des preuves s'améliore. La première étape est le contact : une notification au titulaire du compte indiquant que le compte semble être accédé depuis plusieurs appareils et environnements distincts, avec une invitation à réviser l'accès au compte ou à passer à un plan multi-utilisateurs. De nombreux partageurs de comptes convertissent à cette étape sans qu'aucune action d'application ne soit nécessaire. Le contact lui-même est la preuve que la plateforme est consciente et surveille.
La deuxième étape est la restriction : limiter l'accès à l'appareil principal ou exiger une ré-authentification lorsqu'un profil d'appareil secondaire apparaît. Cela est encore réversible si le titulaire du compte démontre que l'appareil secondaire est légitimement le sien.
La troisième étape est l'application : suspension du compte, déclassement du plan ou conversion obligatoire en arrangement multi-sièges. À ce stade, le titulaire du compte peut contester l'action auprès de son émetteur de carte s'il estime que la restriction était injustifiée. Les preuves de session de la couche navigateur soutiennent la décision d'application : l'enregistrement montre la diversité des profils d'appareils et des schémas d'utilisation indépendants qui établissent le partage de compte comme l'explication la plus probable.
Le lien avec la défense contre les contestations de débit est important dans les marchés d'abonnements à haute valeur. Un abonné dont l'accès est restreint après détection d'un partage de compte peut contester les charges d'abonnement pour la période précédente. Les preuves de session de la couche navigateur démontrant la diversité des appareils et les schémas d'utilisation indépendants peuvent être soumises dans le cadre de la réponse au litige, documentant pourquoi la restriction a été prise et établissant que l'abonnement était utilisé par plus d'une personne.
Ce que cela signifie pour les plateformes SaaS et médias
Réponse rapide : Les plateformes SaaS et médias ont l'exposition financière la plus directe au partage de compte : un siège SaaS partagé est une vente de siège perdue ; un abonnement partagé est un abonnement perdu. La détection du partage de compte de cside identifie les comptes accédés par plusieurs profils d'appareils distincts, fournit des preuves au niveau de la session pour soutenir l'application, et route les cas limites vers une révision plutôt qu'une action automatisée. La sortie s'intègre aux flux de travail de gestion des abonnements et d'application des conditions d'utilisation existants.
L'impact sur les revenus du partage de compte est le plus direct dans les SaaS par siège et les médias en abonnement. Un siège SaaS partagé signifie que la plateforme fournit la valeur de deux sièges pour le prix d'un. Sur la durée d'un contrat, c'est une opportunité d'upsell manquée sur chaque siège partagé dans la clientèle. Pour les plateformes médias, les dynamiques démontrées par les principaux services de streaming au cours des dernières années illustrent à la fois l'ampleur du problème et la récupération de revenus disponible lorsque le partage est adressé avec une stratégie d'application et de preuve appropriée.
L'angle de conversion est aussi important que l'angle d'application. De nombreux partageurs de comptes, lorsqu'ils sont contactés avec des preuves claires que la plateforme a détecté l'accès multi-appareils et invités à passer à un plan multi-utilisateurs, convertiront plutôt que de contester. La conversion est un revenu ; la contestation est un coût. Un contact basé sur des preuves qui présente l'enregistrement d'accès aux appareils, voici ce que nous voyons, voici ce que l'option multi-utilisateurs coûte, voici comment passer à la version supérieure, convertit une plus grande proportion de partageurs détectés qu'une action d'application brutale.
La calibration des seuils est importante car tous les accès multi-appareils ne sont pas du partage de compte. Un abonnement personnel avec deux appareils est probablement un seul utilisateur. Le même abonnement avec cinq profils d'appareils distincts dans quatre contextes géographiques différents sur 30 jours est probablement partagé. Les seuils de nombre d'appareils et de diversité géographique qui distinguent ces cas sont spécifiques à la plateforme, et la sortie du score de confiance de cside permet aux équipes de définir des seuils qui correspondent à l'empreinte d'appareil attendue pour un seul utilisateur de leur produit.
L'intégration aux systèmes d'abonnement et de facturation existants est conçue pour être légère. Les signaux de partage de compte de cside s'alimentent dans le signal de risque sur lequel l'équipe fraude agit déjà. Pour les équipes SaaS utilisant des outils de succès client ou de facturation existants pour gérer l'application des plans, l'enregistrement du profil d'appareil est une entrée pour ce flux de travail existant, pas un système séparé. cside est certifié SOC 2. La documentation complète se trouve sur trust.cside.com.
